Fiat Chrysler pagherà fino a 1.500 dollari per trovare vulnerabilità di sicurezza nelle sue auto

Fiat Chrysler offre fino a 1.500 dollari agli hacker che possono sfruttare il suo software

Fiat Chrysler Automobiles (FCA) si unisce a un elenco di aziende che offriranno denaro agli hacker per trovare vulnerabilità e bug di sicurezza nel software dei suoi veicoli. La ricompensa nel programma di bug bounty sarà compresa tra 150 e 1.500 dollari, a seconda della vulnerabilità di sicurezza che gli hacker etici e i ricercatori scopriranno in uno dei SUV Jeep, nei camion Ram o in altri modelli dell’azienda automobilistica.

“Ci siamo impegnati a riconoscere formalmente e a compensare la scoperta di vulnerabilità riproducibili e legittime, a condizione che vengano divulgate in modo responsabile,” afferma l’azienda. “Il nostro obiettivo con il progetto Bug Bounty è promuovere una relazione collaborativa con i ricercatori per partecipare alla divulgazione responsabile delle vulnerabilità nei veicoli e nei servizi connessi di FCA.”

FCA offrirà la ricompensa sulla piattaforma Bugcrowd. La piattaforma gestirà i pagamenti. Bugcrowd afferma di avere circa 30.000 ricercatori di sicurezza come membri.

“Ci sono molte persone che amano smanettare con i loro veicoli o con i sistemi IT,” ha detto Titus Melnyk, un senior security manager di Fiat Chrysler. “Vogliamo incoraggiare i ricercatori di sicurezza indipendenti a contattarci e condividere ciò che hanno trovato.”

L’azienda automobilistica chiede ai ricercatori di fornire dettagli completi su qualsiasi vulnerabilità trovata, inclusi codice di prova di concetto o dettagli. Uconnect iOS, Uconnect Android, ecoDrive onAndroid e ecoDrive su iPhone e iPad sono tutti obiettivi. Inoltre, l’azienda è interessata ai problemi di sicurezza trovati all’interno dei domini web driveconnect.eu e ecodrive.driveconnect.eu.

I ricercatori saranno ricompensati da FCA per problemi come vulnerabilità di esecuzione remota di codice (RCE) e bug di cross-site scripting su pagine autenticate, ma non verranno emesse ricompense per problemi di sicurezza come clickjacking, messaggi di errore, vulnerabilità relative all’infrastruttura Adobe Air, file e directory pubblici o problemi di robustezza dei certificati.

In totale, quattro bug sono stati risolti e ricompensati finora, ma i dettagli di ciascun problema di sicurezza rimangono privati.

FCA afferma di essere il primo produttore di automobili con una gamma completa di auto e camion a offrire una tale ricompensa, anche se il produttore di auto elettriche Tesla Motors Inc. ha fatto un’offerta simile.

Il produttore di automobili afferma che potrebbe rendere pubblici i risultati per beneficiare altri, a seconda della natura della potenziale vulnerabilità identificata e dell’ambito degli utenti interessati, se presenti.

L’obiettivo di FCA è semplice: trovare vulnerabilità nei suoi veicoli prima che possano portare a un costoso richiamo e compromettere l’immagine del marchio. Lo scorso anno, l’azienda è stata costretta a richiamare 1,4 milioni di veicoli e aggiornare il suo software dopo che due ricercatori di sicurezza hanno hackerato il sistema di intrattenimento di una Jeep Cherokee e hanno preso il controllo del veicolo da remoto.

La dimostrazione di alto profilo non è stata solo un incidente imbarazzante per Fiat Chrysler, ma ha anche spinto l’industria automobilistica a correre per assicurarsi che i suoi sistemi siano sicuri.

“La sicurezza e la protezione dei nostri consumatori e dei loro veicoli è la nostra massima priorità,” ha detto Sandra Hosler, responsabile del sistema di cybersecurity, FCA US LLC. “Costruendo su una cultura della sicurezza, FCA US ha sviluppato un team interfunzionale composto da specialisti in ingegneria, sicurezza, affari normativi e veicoli connessi, dedicato alla collaborazione e al coinvolgimento con una vasta gamma di professionisti del settore per integrare la sicurezza nei nostri veicoli e prodotti per design.”

FCA non è l’unica azienda che ha assunto hacker per rendere le sue auto più sicure. Lo scorso anno, Uber ha assunto il duo che ha hackerato da remoto la Jeep Cherokee.

Il programma di bug bounty di FCA US (https://bugcrowd.com/fca) crowdsources il testing del software per affrontare le sfide della cybersecurity. Il programma Bugcrowd aiuterà a trovare potenziali vulnerabilità di sicurezza del prodotto; implementare correzioni; migliorare la sicurezza e la protezione e aumentare lo spirito di trasparenza e cooperazione all’interno della comunità di cybersecurity.